เป็นเวลาหนึ่งปีครึ่งแล้วที่กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) มีผลบังคับใช้ในสหภาพยุโรป เป้าหมายหลักของกฎข้อบังคับคือการให้ความเป็นส่วนตัว ความชัดเจน และการควบคุมแก่บุคคลในการควบคุมวิธีที่ธุรกิจออนไลน์ องค์กร และบุคคลที่สามใช้ข้อมูลของตนมากขึ้น ภายใต้ GDPR บริษัทต่างๆ จะต้องให้ข้อมูลเพิ่มเติมมากมายเกี่ยวกับวิธีการใช้และเก็บรักษาข้อมูลของบุคคล ไม่ว่าจะเป็นบนเว็บไซต์ สัญญาจ้างงาน หรือแบบฟอร์มออนไลน์
ในบทความนี้ เราจะหารือกันอย่างชัดเจนว่า GDPR คืออะไร มีความหมายต่อบุคคลทั่วไปอย่างไร และวิธีการนำไปใช้นับตั้งแต่มีการบังคับใช้เมื่อปีที่แล้ว
GDPR คืออะไร
แนวคิดของ GDPR คือการทำให้กฎหมายของสหภาพยุโรปที่เกี่ยวข้องกับความเป็นส่วนตัวออนไลน์และการปกป้องข้อมูลเหมาะสมกับความซับซ้อนของยุคออนไลน์มากขึ้น ธุรกิจออนไลน์ที่ใหญ่ที่สุดหลายแห่งอาศัยกระแสข้อมูลส่วนบุคคลที่เราให้ไปทุกวันบนอินเทอร์เน็ต ตั้งแต่คุกกี้ไปจนถึงการค้นหาโดย Google ไปจนถึงรายละเอียดที่เรากรอกในแบบสำรวจออนไลน์หรือแบบฟอร์มอื่นๆ
ธุรกิจขนาดใหญ่ของอินเทอร์เน็ตนั้นค่อนข้างได้รับแรงหนุนจากข้อมูลของเรา และแนวคิดของ GDPR ก็คือการให้ความชัดเจนและการควบคุมวิธีใช้งานที่เพิ่มขึ้น รวมถึงบังคับให้บริษัทต่างๆ มีความรับผิดชอบมากขึ้นในข้อมูลที่พวกเขาจัดหาจากเราและ ใช้งานอย่างไร
ฟังดูดี แต่มันหมายความว่าอย่างไรกันแน่? ประเด็นสำคัญเกี่ยวกับ GDPR มีดังนี้
- ข้อมูลส่วนบุคคลของบุคคลหรือ "เจ้าของข้อมูล" สามารถประมวลผลได้ก็ต่อเมื่อเป็นไปตาม "วัตถุประสงค์ที่ชอบด้วยกฎหมาย" ข้อใดข้อหนึ่งจากหลายข้อ ซึ่งรวมถึงบุคคลที่ยินยอมในการประมวลผลข้อมูล ดำเนินงานเพื่อสาธารณประโยชน์ ปกป้องผลประโยชน์ที่สำคัญของบุคคลอื่น หรือ "วัตถุประสงค์" อื่นๆ อีกหลายประการ
- อาสาสมัครต้องให้ความยินยอมในการประมวลผลข้อมูล (ดังนั้น ประกาศ GDPR ทั้งหมดที่เริ่มปรากฏบนเว็บไซต์ทุกที่)
- GDPR ตรวจสอบบริษัทต่างๆ โดยเรียกร้องให้ใช้ "มาตรการทางเทคนิคและองค์กรที่เหมาะสม" เพื่อลดความเสี่ยงของการละเมิดข้อมูลหรือการละเมิด
- เหตุการณ์ด้านความปลอดภัยของข้อมูลที่เป็นภัยคุกคามต่อ “สิทธิและเสรีภาพ” ของเจ้าของข้อมูลจะต้องรายงานต่อหน่วยงานระดับสูงภายใน 72 ชั่วโมง
- ข้อมูลที่รวบรวมจากอาสาสมัครจะถูกปกปิดเพื่อความเป็นส่วนตัว
- สิทธิ์ที่จะถูกลืมทำให้ผู้ใช้สามารถร้องขอให้ลบข้อมูลของตนออกจากฐานข้อมูลทั้งหมดได้ ผู้ใช้ยังมีสิทธิ์ขอให้เว็บไซต์ไม่ประมวลผลข้อมูลของตนอีกต่อไปหากไม่ต้องการลบข้อมูลทั้งหมด หากบริษัทได้แบ่งปันข้อมูลของผู้ใช้กับบุคคลอื่น พวกเขาทั้งหมดจะต้องได้รับแจ้งเกี่ยวกับการลบ การแก้ไข หรือข้อจำกัดใดๆ ผู้ใช้ต้องมีสิทธิ์หยุดการประมวลผลข้อมูลทั้งหมดจากทุกฝ่าย
- ตัวจัดการข้อมูลซึ่งประกอบด้วย "ผู้ควบคุม" (บุคคลและหน่วยงานที่ "กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล") และ "ผู้ประมวลผล" (บุคคลหรือหน่วยงานที่ประมวลผลข้อมูลในนามของผู้ควบคุม) มีหน้าที่รับผิดชอบ ข้อมูลถูกจัดการอย่างไม่ถูกต้องและอาจถูกปรับหากพบว่าไม่เป็นไปตามระเบียบข้อบังคับด้านการจัดการข้อมูล GDPR
สิทธิ์ทั้งหมดเหล่านี้มาพร้อมกับภาระหน้าที่เสริมที่บังคับใช้กับบริษัท และอาจเผชิญกับผลกระทบที่รุนแรงหากไม่ปฏิบัติตาม จำนวนรายละเอียดที่ใส่ลงไปในกฎหมายฉบับนี้ทำให้บางทีอาจเป็นกฎหมายคุ้มครองความเป็นส่วนตัวของข้อมูลดิจิทัลที่ใหญ่ที่สุดในโลก
GDPR มีผลกระทบอะไรบ้าง
สหภาพยุโรปไม่ได้ยุ่งกับการบังคับใช้ GDPR และการปราบปรามบริษัทที่เชื่อว่าละเมิดกฎระเบียบของตน กรณีของ GDPR ที่มีชื่อเสียงที่สุดในปัจจุบันเกี่ยวข้องกับ WhatsApp และ Irish Data Protection Commission ซึ่งทำให้เกิดความกังวลว่า WhatsApp แจ้งผู้ใช้ของตนอย่างเพียงพอเกี่ยวกับการประมวลผลข้อมูลอย่างไร
ขณะนี้ ร่างคำตัดสินเกี่ยวกับค่าปรับของ WhatsApp ที่คาดว่าจะจ่ายถูกเลื่อนกลับไปเป็นปี 2020 หลังจากที่ทนายความของ WhatsApp ได้รับการร้องเรียนตามขั้นตอนแล้ว
ย้อนกลับไปในเดือนมกราคม 2019 CNIL ซึ่งเป็นหน่วยงานเฝ้าระวังด้านการปกป้องข้อมูลของฝรั่งเศส ได้ปรับ Google 57 ล้านดอลลาร์สำหรับการละเมิดกฎหมาย GDPR กล่าวหาเครื่องมือค้นหาว่าขาดความโปร่งใสและความชัดเจนในการจัดการข้อมูลส่วนบุคคล และยังไม่ได้รับการยินยอมอย่างเหมาะสมเมื่อแสดงให้ผู้ใช้เห็นในแบบของคุณ โฆษณา
ในเดือนพฤศจิกายน 2019 หน่วยงานปกป้องข้อมูลของสหราชอาณาจักรได้ออกคำเตือนไปยังบริษัทเทคโนโลยีโฆษณาเกี่ยวกับการประมวลผลข้อมูลที่ละเอียดอ่อนและสัญญาที่ใช้ในการแชร์ข้อมูลระหว่างผู้ขาย
ในเดือนพฤศจิกายน Microsoft แก้ไขนโยบายความเป็นส่วนตัวในสัญญาระบบคลาวด์หลังจากการสอบสวนจาก European Data Protection Supervisor (EDPS) ทำให้เกิดความกังวลว่าสัญญาและบทบาทในฐานะผู้ประมวลผลข้อมูลสำหรับสถาบันในสหภาพยุโรปไม่สอดคล้องกับ GDPR
บทสรุป
อย่างที่คุณเห็น GDPR ทำให้เกิดความขัดแย้งเกี่ยวกับความเป็นส่วนตัวระหว่างธุรกิจออนไลน์และสหภาพยุโรป ในขณะที่บริษัทต่างๆ แสดงความเต็มใจที่จะปฏิบัติตามข้อกำหนดของ GDPR เป็นที่แน่ชัดว่าบริษัทหลายแห่งยังมีหนทางอีกยาวไกลก่อนที่จะปฏิบัติตามอย่างเต็มที่ และเรามีแนวโน้มที่จะเห็นค่าปรับและคำเตือนที่เข้มข้นและรวดเร็วเช่นเดียวกับบริษัท ถูกบังคับให้ปรับให้เข้ากับกฎหมายที่ปรับปรุงใหม่อย่างมากเกี่ยวกับความเป็นส่วนตัวออนไลน์ในสหภาพยุโรป
